Non tutti gli attacchi informatici fanno rumore. Alcuni non bloccano i computer, non cifrano i file, non chiedono riscatti e non lasciano tracce evidenti: entrano, copiano tutto ciò che serve per impersonarvi e scompaiono.
Gli infostealer appartengono proprio a questa categoria di minacce silenziose. In pochi secondi e senza che nessuno se ne accorga sottraggono password, cookie di sessione, dati salvati nei browser e wallet, trasformando un dispositivo apparentemente sicuro in una porta d’accesso per i criminali informatici.
Il loro vero pericolo non è solo ciò che rubano, ma ciò che permettono di fare dopo: le credenziali raccolte finiscono in vendita lo stesso giorno, e settimane dopo riutilizzate e sfruttate per entrare nelle reti aziendali autenticandosi come un utente autorizzato. È così che un’infezione invisibile può diventare il primo passo verso frodi, intrusioni e attacchi ransomware.
In questo articolo, gli esperti di Cyberment spiegano cosa sono gli infostealer, come funzionano, quali informazioni possono sottrarre, come scoprire se si è già stati compromessi e quali misure adottare per proteggere utenti e organizzazioni.
Cos’è un infostealer e perché è la minaccia del momento
«Un infostealer è un malware costruito per un unico scopo: raccogliere informazioni dal dispositivo infetto ed esfiltrarle verso chi lo controlla. Niente persistenza elaborata, niente movimenti nella rete, niente danni visibili: molti esemplari completano la raccolta in pochi secondi dall’esecuzione, comprimono il bottino, lo inviano a un server di comando e controllo — sempre più spesso un semplice bot Telegram — e in alcuni casi si rimuovono da soli. La vittima non vede nulla, e questo è il punto: mentre il ransomware annuncia sé stesso, l’infostealer vive della propria invisibilità. Tra l’infezione e il momento in cui qualcuno usa le credenziali rubate possono passare settimane o mesi, e ricostruire a ritroso l’origine della compromissione diventa quasi impossibile.
La ragione per cui questa categoria di malware è esplosa è strutturale, non tecnica. Il lavoro remoto e ibrido ha moltiplicato i dispositivi personali che toccano risorse aziendali; l’autenticazione è diventata il vero perimetro delle organizzazioni, sostituendo il firewall; e i browser sono diventati casseforti involontarie, dove utenti e dipendenti salvano password, sessioni e carte di pagamento. Gli infostealer non hanno fatto altro che industrializzare lo svuotamento di quelle casseforti.
Un’industria in abbonamento: il modello malware-as-a-service
La quasi totalità degli infostealer moderni non viene usata da chi la sviluppa: viene affittata. Lo sviluppatore mantiene il codice, l’infrastruttura di esfiltrazione e il pannello di controllo, e vende l’accesso in abbonamento — tipicamente da poche decine a qualche centinaio di dollari al mese — a una platea di affiliati che si occupano solo della distribuzione. Il pacchetto include aggiornamenti per eludere gli antivirus, assistenza su Telegram e statistiche delle infezioni in tempo reale, come un qualsiasi software gestionale.
Le conseguenze sono due, ed entrambe spiegano i numeri del fenomeno. La prima: la barriera d’ingresso è crollata — per condurre una campagna di furto credenziali non serve saper scrivere una riga di codice, basta pagare l’affitto e comprare traffico pubblicitario. La seconda: il mercato è resiliente. Quando un’operazione di polizia abbatte una famiglia, gli affiliati migrano in blocco verso un concorrente nel giro di giorni, portandosi dietro tecniche e canali di distribuzione. L’offerta si rigenera perché la domanda — credenziali fresche da rivendere — non si ferma mai.
Come avviene l’infezione
Gli infostealer raramente sfruttano vulnerabilità sofisticate: arrivano dove c’è una persona da convincere, e l’ingegneria della convinzione è diventata il vero terreno di innovazione. Il malvertising compra annunci sponsorizzati sui motori di ricerca per posizionare falsi installer di software popolari — un utente cerca un programma noto, clicca il primo risultato (che è una pubblicità), scarica un eseguibile identico all’originale e si infetta installando anche il software vero, che funziona regolarmente. Le campagne come ClickFix convincono l’utente a eseguire il malware con le proprie mani, spacciando un comando da incollare nel terminale per una verifica anti-bot o la correzione di un errore. I falsi aggiornamenti del browser compaiono su siti compromessi con la grafica esatta di Chrome o Firefox. Il typosquatting intercetta chi sbaglia una lettera digitando un dominio. E restano i canali storici: allegati di phishing, software pirata, crack e falsi tool gratuiti, che continuano a funzionare soprattutto sui dispositivi personali.
Il filo comune è che l’infezione passa quasi sempre da un’azione volontaria dell’utente. Non c’è exploit da patchare: c’è un inganno da riconoscere. È un dettaglio che ribalta le priorità difensive, come vedremo più avanti.
Cosa ruba: dentro uno stealer log
Il bottino di un’infezione si chiama stealer log, ed è molto più di una lista di password. Un log tipico contiene: tutte le credenziali salvate nei browser del dispositivo, complete dell’URL a cui si riferiscono; i cookie di sessione, che sono la parte più preziosa — permettono di entrare in un account già autenticato senza conoscere la password e senza far scattare l’autenticazione a due fattori, perché per il servizio quella sessione è legittima; i dati di compilazione automatica, indirizzi e carte di pagamento compresi; i wallet di criptovalute e le estensioni collegate; i token di applicazioni come Discord e Telegram; le credenziali di client FTP, VPN ed email; e un inventario della macchina — software installato, schermate, specifiche hardware — che serve al compratore per capire cosa ha in mano.
È quest’ultimo punto a rendere i log un problema aziendale prima che personale. Il PC di casa di un dipendente che accede alla webmail aziendale produce un log che contiene insieme la vita privata della persona e le chiavi dell’organizzazione: VPN, posta, gestionale, cloud. Chi compra quel log non distingue — compra tutto, e rivende ogni pezzo al mercato giusto.
Le famiglie principali: RedLine, Lumma e gli eredi
Il panorama cambia in fretta, anche perché le forze dell’ordine hanno iniziato a colpire l’infrastruttura. L’operazione internazionale Magnus, a fine 2024, ha smantellato RedLine — per anni lo stealer più diffuso al mondo — insieme al gemello Meta; nel 2025 un’azione coordinata tra Microsoft e le autorità ha colpito Lumma, l’erede di fatto, sequestrandone migliaia di domini. Ma il modello in abbonamento rende ogni vuoto temporaneo: gli affiliati migrano, e famiglie come Vidar, Raccoon, Rhadamanthys e Acreed si contendono la clientela rimasta, mentre il mercato premia chi aggiorna più in fretta le tecniche di evasione.
La specializzazione è l’altro tratto del settore, e si vede bene nelle analisi dedicate che abbiamo pubblicato: StealC v2 ruba dati sfruttando Facebook, Glove Stealer si è specializzato nell’aggirare le protezioni di Google Chrome, YTStealer caccia esclusivamente i creator di YouTube per rivenderne i canali, e Pony Stealer, uno dei capostipiti, racconta da dove viene tutta questa filiera. Ogni famiglia ha bersagli, tecniche e listini propri: è un mercato maturo, con i comportamenti di un mercato maturo.
L’economia dei dati rubati: log, combolist e dark web
Il furto è il primo anello di una filiera che ha i suoi grossisti, i suoi dettaglianti e i suoi listini. Gli stealer log si vendono in blocco su marketplace del dark web e su canali Telegram dedicati, a prezzi che partono da pochi euro al pezzo — meno di un caffè per le chiavi digitali complete di una persona, perché il valore sta nei volumi e nella selezione. I compratori più attrezzati filtrano i log per parole chiave: cercano URL aziendali, accessi VPN, pannelli di amministrazione, e pagano un premio per i log “corporate”.
Le credenziali estratte dai log confluiscono poi nelle combolist, elenchi di coppie email-password aggregati da migliaia di fonti, che alimentano il credential stuffing: attacchi automatizzati che provano quelle coppie su centinaia di servizi, contando sul riuso delle password. Le aggregazioni raggiungono dimensioni difficili da concepire — ne è un esempio MOAB, la raccolta record da 12 terabyte di cui abbiamo raccontato il caso — e una credenziale rubata oggi può riemergere in una combolist per anni. Quando il bersaglio è un’organizzazione, infine, i dati esfiltrati possono approdare sui Data Leak Site, le vetrine pubbliche con cui i gruppi criminali esercitano la pressione dell’estorsione.
La catena va fissata bene, perché è la risposta alla domanda “ma chi vuoi che sia interessato a noi”: l’infostealer sul PC di un dipendente oggi, il log in vendita domani, le credenziali in una combolist tra un mese — e a ogni passaggio cresce il numero di attori, umani e automatici, che possiedono le vostre chiavi.
Il passo successivo: l’accesso con le vostre credenziali
L’epilogo è il motivo per cui gli infostealer riguardano le aziende più di chiunque altro: chi compra quelle credenziali non deve forzare nulla. Si autentica. Entra nella VPN, nella posta, nel cloud con un login formalmente legittimo, da cui i sistemi di difesa perimetrale non hanno niente da eccepire. È il modello di intrusione che abbiamo analizzato nella guida alla Identity-First Intrusion, la minaccia che si autentica al posto vostro, ed è all’origine di una quota crescente delle compromissioni aziendali: molti attacchi ransomware non cominciano con un exploit, ma con un accesso comprato per pochi dollari e rivenduto a chi lo sfrutterà. L’infostealer è il fornitore della materia prima; l’accesso abusivo è il prodotto finito.
Come scoprire se siete già stati colpiti
La domanda corretta non è “potrebbe succederci?” ma “è già successo?” — e una risposta parziale si può avere subito. Per le singole identità, servizi come Have I Been Pwned verificano se un indirizzo email compare nelle violazioni e raccolte note, incluse quelle alimentate dagli stealer log: ne abbiamo scritto una guida completa, dove spieghiamo anche perché per un’azienda il controllo puntuale del singolo indirizzo non basta. I segnali indiretti pesano altrettanto: accessi da posizioni o orari anomali, sessioni attive che non riconoscete, richieste MFA mai avviate, regole di inoltro comparse nella posta.
Per un’organizzazione la verifica deve diventare processo: monitoraggio degli accessi e delle sessioni, controllo ricorrente dell’esposizione dei domini aziendali nelle violazioni note, e un faro puntato sui dispositivi non gestiti — il PC personale che tocca risorse aziendali è il punto cieco preferito di questa minaccia, perché produce stealer log aziendali fuori da ogni telemetria IT.
Come difendersi
La difesa tecnica parte da una presa d’atto: il browser non è un password manager. Le credenziali salvate nel browser sono il primo archivio che ogni stealer svuota, e spostarle in un password manager dedicato — con vault cifrato e bloccato — sottrae alla minaccia il suo bersaglio più facile. Sul fronte dell’autenticazione, l’MFA va attivata ovunque ma scegliendo dove possibile metodi resistenti al furto di sessione, come le passkey, perché i cookie rubati aggirano i fattori tradizionali; e le sessioni vanno accorciate e revocate al primo sospetto. Completano il quadro la protezione degli endpoint capace di riconoscere i comportamenti tipici degli stealer, e policy restrittive su installer e software non verificati.
La difesa organizzativa lavora sul raggio del danno: meno cose può raggiungere un singolo account, meno vale il suo log. Accessi privilegiati separati dagli account quotidiani, segmentazione delle risorse, governo dei dispositivi che toccano dati aziendali, e le pratiche che abbiamo raccolto nei 5 consigli per mitigare l’esposizione delle credenziali.
E poi c’è il piano umano, che qui è decisivo come in poche altre minacce: quasi ogni infezione comincia con una persona convinta a scaricare, cliccare o eseguire qualcosa. Riconoscere un risultato sponsorizzato travestito da sito ufficiale, un falso aggiornamento, una richiesta ClickFix è una competenza che si allena — ed è la più economica di tutte le difese, perché interviene prima che esista qualcosa da rimediare.»
https://cyberment.it/malware/infostealer-cosa-sono-come-funzionano-e-come-difendersi/





